Sự cố Kelp DAO diễn ra vào khoảng ngày 18-19/04/2026 không chỉ là một vụ hack đơn thuần mà đã gây ra một cuộc tháo vốn (bank run) kinh hoàng trong DeFi.
1) Kịch bản tấn công
• Hacker đã giả mạo thành công các tin nhắn xuyên chuỗi (cross-chain messages) để rút tổng cộng 116.500 rsETH (chiếm khoảng 18% tổng cung của token này).
• Ngay sau khi đánh cắp rsETH, hacker đã mang số token này lên Aave V3 để làm tài sản thế chấp. Tại đây, chúng vay ra các tài sản có thanh khoản cao như wETH, USDT và USDC tạo thành các nợ xấu.
>>> Vì rsETH lúc này đã mất đi giá trị bảo chứng thực tế, Aave đột ngột gánh khoản nợ xấu ước tính khoảng 195 triệu USD.
2) Phản ứng dây chuyền và những con số biết nói
• Lo sợ hệ thống sụp đổ, các "cá mập" (bao gồm cả Justin Sun) đã rút hàng tỷ USD ra khỏi Aave.
• Tổng thiệt hại trực tiếp: Khoảng 293 triệu USD.
• TVL DeFi sụt giảm: Hơn 15 tỷ USD đã bị rút khỏi các ứng dụng on-chain chỉ trong 2 ngày.
• Aave: TVL giảm từ 26,4 tỷ USD xuống còn 18,6 tỷ USD (mất gần 8 tỷ USD). Tỷ lệ sử dụng (utilization rate) của các bể USDT/USDC đạt 100%, nghĩa là người dùng không thể rút tiền vì không còn thanh khoản trong bể.
1) Kịch bản tấn công
• Hacker đã giả mạo thành công các tin nhắn xuyên chuỗi (cross-chain messages) để rút tổng cộng 116.500 rsETH (chiếm khoảng 18% tổng cung của token này).
• Ngay sau khi đánh cắp rsETH, hacker đã mang số token này lên Aave V3 để làm tài sản thế chấp. Tại đây, chúng vay ra các tài sản có thanh khoản cao như wETH, USDT và USDC tạo thành các nợ xấu.
>>> Vì rsETH lúc này đã mất đi giá trị bảo chứng thực tế, Aave đột ngột gánh khoản nợ xấu ước tính khoảng 195 triệu USD.
2) Phản ứng dây chuyền và những con số biết nói
• Lo sợ hệ thống sụp đổ, các "cá mập" (bao gồm cả Justin Sun) đã rút hàng tỷ USD ra khỏi Aave.
• Tổng thiệt hại trực tiếp: Khoảng 293 triệu USD.
• TVL DeFi sụt giảm: Hơn 15 tỷ USD đã bị rút khỏi các ứng dụng on-chain chỉ trong 2 ngày.
• Aave: TVL giảm từ 26,4 tỷ USD xuống còn 18,6 tỷ USD (mất gần 8 tỷ USD). Tỷ lệ sử dụng (utilization rate) của các bể USDT/USDC đạt 100%, nghĩa là người dùng không thể rút tiền vì không còn thanh khoản trong bể.